Cobalt Strike 流量特征
总结来源于网上资料, 有错的地方欢迎各位大佬指正。
简介
简介:Cobalt Strike is software for Adversary Simulations and Red Team Operations. Cobalt Strike 简称CS, A-team详细介绍使用网址。CS是一款优秀的后渗透工具,可以在获取主机权限后进行长久权限维持,快速进行内网提权,凭据导出等。在后渗透中如果未修改特征,容易被流量审计设备监控,被蓝队溯源。
Cobalt Strike 是一个为对手模拟和红队行动而设计的平台,主要用于执行有目标的攻击和模拟高级威胁 者的后渗透行动
特征
默认端口 50050
SSL 证书流量特征:
- keystore type: jks
- Alias name: cobaltstrike
- Own: CN=Major Cobalt Strike
- Issuer: CN=Major Cobalt Strike
默认 C/S 端通讯证书:字段和固定哈希值识别
可以看到beacon的通信
对比正常的http流量,CS的http通信流量具有以下几个特征:
心跳包特征
- a) 间隔一定时间,均有通信,且流级上的上下行数据长度固定;
域名/IP特征
- a) 未走CDN、域前置的,域名及IP暴露
- b) 走CDN、域前置的,真实IP会被隐藏;
指令特征
代码语言:javascript复制a) 下发指令时,通过心跳包接收指令,这时,server端返回的包更长,甚至包含要加载的dll模块数据。b) 指令执行完后,client端通过POST请求发送执行的结果数据,body部分通过加密和base64编码。c) 不同指令,执行的时间间隔不一样,可以通过POST请求和GET请求的间隔进行判断。数据特征
- a) 在请求的返回包中,通信数据均隐藏在jqeury*.js中。
去除特征的方法
修改默认端口50050
修改默认ssl证书
- keytool -list -v -keystore cobaltstrike.store
- 参考链接:https://www.cnblogs.com/CoLo/p/14518441.html#0x00-关闭后台运行的cs
修改profile
